IIS 설치 (4)


 

   엑세스 제어


     (1) IUSR_computername 계정 사용

    설치 프로그램은 IUSR_computername이라는 익명 계정을 자동으로
    만든다. 이 계정은 로컬로 로그온 할 수 있는 변칙적으로 생성된 암호와
    권한을 갖는다. 도메인 컨트롤러에서 이 계정은 도메인 데이터베이스에
    추가된다. 이 프로세스는 완전히 자동으로 실행된다. 설치를 완료한 후,
    새 사용자 이름과 암호가 Windows NT [사용자 관리자]에 있는 동일한
    사용자 이름 및 암호와 일치하면 [인터넷 서비스 관리자]의 [서비스]
    등록 정보 화면에서 이 계정에 대한 사용자 암호를 변경할 수 있다.

 

주의

Windows NT 도메인용 [사용자 관리자]에서 익명 사용자 이름 계정 (IUSR_computername)을 변경할 경우 Microsoft는 전혀 새로운 계정 을 만들기 보다 IUSR_computername계정을 복사하고 새 이름과 암호를 지정할 것을 권장한다. IUSR_computername 계정을 복사함으로써 그 계정에 허용된 모든 권한과 사용자 권리를 넘겨 주게 된다. 그 다음에 [인터넷 서비스 관리자]에서 익명 사용자 이름과 암호를 변경하여 도메인용 [사용자 관리자]에서 만들어진 새 사용자 이름 및 암호와 정확히 일치하도록 한다.

익명 액세스가 허용되면 WWW, FTP, 그리고 Gopher 서비스는 기본적으로 IUSR_computername 사용자 계정을 사용한다. IUSR_computername에 대한 권한을 설정하려면 [사용자 관리자]를 사용한다. NTFS 드라이브에 IUSR_computername에 대한 파일 사용 권한을 설정하려면 [Windows NT 탐색기]를 사용한다.

 

     (2) 사용자 또는 그룹의 엑세스 제어

  • 사용자 계정 설정

    Windows NT Challenge/Response 인증을 사용하는 경우 인터넷
    서비스를 사용하려면 <네트워크에서 이 컴퓨터 엑세스> 권한이 필요
    하다. 기본적으로 모든 하용자가 이 권한을 갖는다.

  • 보안을 강화하기 위한 방법
  1. <로컬 로그온> 또는 <네트워크에서 이 컴퓨터 엑세스> 권한 이외의
    다른 권한을 IUSR_computername 계정, Guest 그룹, Everyone 그룹
    등에게 부여하지 않는다.
  2. 관리자 권한을 갖는 사용자 계정과 시스템의 모든 사용자 계정이 추측
    하기 어려운 암호를 갖도록 한다.
  3. 관리도구의 사용자 관리자를 이용하여 계정암호의 만료기간을 지정하고,
    사용자들이 규칙적으로 암호를 변경, 사용자의 계정을 잠그기까지
    로그온 실패횟수가 몇번까지 허용되는 지와 같은 기타 정책을 설정한다.
    특히 관리자 엑세스를 갖는 계정에서 이 정책을 사용하면 소모적이고
    변칙적인 암호 공격을 차단할 수 있다.
  • 사용자 이름 및 암호 요구
  1. 기본 인증 : 클라이언트와 서버간의 전송을 암호화하지 않는다. 기본
    인증은 네트워크로 암호화되지 않은 클라이언트의 Windows NT
    사용자 이름과 암호를 보내기 때문에 침입자가 사용자 이름과 암호를
    쉽게 알 수 있다.
  2. Windows NT Challenge/Response(NTLM이라 함) : 클라이언트가 사용
    하는 사용자 계정은 이 클라이언트가 서버에 로그온할 때 사용된 계정
    으로서 Windows NT 도메인을 포함하여 IIS Server가 실행되는
    Windows NT환경 서버에서 유효한 계정이다. 이 NTLM은 클라이언트와
    서버가 동일하거나 트러스트된 도메인의 인트라넷 환경에서 매우 유용
    하다.따라서 이러한 강화된 보안 때문에 Microsoft에서는 가능하면
    NTLM 암호 인증 방식을 사용할 것을 권장하고 있다. 단, 브라우저가
    이 NTLM을 지원하는 경우(Explorer 2.0 이상)에만 가능하다.

     <참고> WWW서비스가 기본 인증과 Windows NT Challenge/Response를
     지원하도록 구성되어 있으면 Web 서버는 제목에 있는 두 인증방식을 Web
     브라우저로 리턴하고 Web 브라우저는 사용할 인증방식을 선택한다. 이때
     먼저 Windows NT Challenge/Response 프로토콜을 지원하는 브라우저는
     이 인증을 사용하고, Windows NT Challenge/Response 프로토콜을 사용
     하지 않는 브라우저는 기본 인증을 사용하게 된다.


     (3) 폴더 및 파일의 사용 권한 설정

     파일, HTML 페이지, ISAPI(Internet Server API) 응용 프로그램 등과 같은
     리소스에 대한 모든 엑세스는 Windows NT 사용자를 위해 IIS 서버가 실행
     하는데 다음과 같은 두가지 방법으로 파일과 폴더로의 엑세스를 제어할 수
     있다.

  • Windows NTFS 사용 권한 설정

    데이터 파일을 NTFS 분할 영역에 배치한다. NTFS는 데이터 파일을 위한
    보안과 엑세스 제어를 제공하는데, 특정 사용자와 서비스를 위한 파일
    시스템 부분의 엑세스를 제한할 수 있다. 특히 모든 인터넷 게시 서비
    스를 위한 데이터 파일에 ACL(Access Control Lists)을 적용하는 것이
    좋다.

    ACL은 특정한 Windows NT 사용자 계정이나 사용자 그룹이 연관된
    파일이나 폴더의 엑세스를 허용 또는 거부하는 것으로서, WIndows
    탐색기를 통하여 구성된다. NTFS 파일 시스템은 엑세스가 허용되는
    사용자와 그룹을 지정하고 그들이 특정파일과 디렉토리에 대하여 갖게
    될 엑세스 유형을 지정하여 파일을 세밀히 제어(예: 읽기, 변경, 쓰기 등)
    할 수 있도록 한다.

    사용 예 : Windows 탐색기 - 등록정보 - 보안 - 사용권한 - 디렉토리
    사용권한 - 추가 ...

  • WWW 디렉토리 엑세스 설정

    인터넷 서비스 관리자에서 Web 게시 디렉토리(폴더)를 작성할 때
    정의된 홈디렉토리나 가상 디렉토리 및 그에 속하는 모든 폴더에 엑세스
    사용 권한을 설정할 수 있다.

    [읽기] 읽기 사용 권한으로 Web 클라이언트가 홈 또는 가상 디렉토리의
    파일을 읽거나 다운로드 할 수 있다. 읽기 권한이 없는 디렉토리에서
    클라이언트가 파일을 요청하면 Web 서버가 오류를 리턴한다.

    [실행] 실행 사용 권한으로 Web 클라이언트가 홈 또는 가상 디렉토리에
    저장된 프로그램이나 스크립트를 실행할 수 있으면, 실행권한이 없는
    클라이언트가 폴더의 프로그램이나 스크립트의 실행 요청을 보내면
    서버가 오류를 리턴한다.


     (4) IP 주소의 엑세스 제어

     IIS Server는 특정 IP 주소의 엑세스를 허용하거나 거부하도록 설정할 수
    있다. 즉, 특정 IP 주소에서 서버로의 엑세스를 거부함으로서 시스템에 손상을
    주는 개인을 제외하거나 전체 네트워크의 서버 엑세스를 차단할 수 있으며,
    반대로 특정 사이트만 서버에 엑세스하도록 허용할 수도 있다.

  • 특정 컴퓨터와 컴퓨터 그룹의 엑세스 거부
  1. [인터넷 서비스 관리자]의 [고급]등록정보 화면에서 [엑세스 허용]
    단추를 선택한다.
  2. 추가를 누른다.
  3. [IP 주소]상자에서 사이트의 엑세스를 거부할 컴퓨터의 IP주소를 입력
    하거나 www.company.com과 같은 DNS 이름을 허용하려면 [IP 주소]
    상자 옆에 있는 단추를 누른다.
  4. 컴퓨터의 엑세스를 거부하려면 [컴퓨터 그룹]을 선택한 후 그룹에 대한
    IP 주소와 서브넷 마스크를 입력한다.
  5. [확인]을 누른다.
  6. [고급]등록정보 화면에서 [확인]을 누른다.




 

   가상 서버설치

  • 동일한 하나의 WEB 서버에 도메인 이름(DNS 이름)이 다른 가상
    서버(Virtual Web Server)를 만들 수 있는데 이때에는 다중 IP 주소가
    요구되며 그 절차는 다음과 같다.
  1. 가상 서버에 인터넷 서비스 제공자(ISP)가 부여하는 인터넷 프로토콜(IP)
    주소를 취득한다. (예> 기본 서버 IP : 164.124.116.152, 가상서버 IP :
    164.124.116.153)
  2. DNS 서버에 추가할 가상서버의 IP Address와 URL 에 대한 A record와
    PTR record를 생성, 추가한다.
  3. NT 서버의 제어판의 네트워크 등록정보에서 TCP/IP 등록정보/IP
    address/고급(Advanced ..)를 선택하여 사용할 가상서버의 IP
    address를 입력한 후 재부팅한다.
  4. IIS 서버의 인터넷 서비스 관리자를 이용하여 가상서버에 대한 디렉토리,
    별명(Alias), IP Address 등을 할당하여 만들면 실제로는 WWW 서비스의
    사본을 실행하는 동일한 컴퓨터이지만 인터넷 사용자에게는 두대의
    컴퓨터로 보인다.

 

 


*** IIS 설치 (4) ***

앞페이지로... 기타 강의실로... 다음장으로...